楼主: B100D1E55
收起左侧

[技术原创] 嗅探Microsoft的病毒扫描引擎

  [复制链接]
FUZE
发表于 2017-2-11 01:33:23 | 显示全部楼层
B100D1E55 发表于 2017-2-11 01:21
其实下一篇已经想好写什么了,不过因为最近活开始多起来了,估计先匿一段时间

能不能稍稍剧透一点
灭灭之痕
发表于 2017-2-11 10:01:39 | 显示全部楼层
B100D1E55 发表于 2017-2-10 23:50
你提出的这个观点很好,这也是很多安软测试所欠缺的环节:仅考虑样本检出数却可能没有很合理地控制样本的 ...

其实就说中毒,我在大学的时候同学们中得最多的就是U盘病毒,网络上的木马也有,但是属于很少的,而且很多都能被安软杀出来。类似勒索这种,我基本没有见过多少。因为轻度使用者接触到“最新的”病毒的概率很低,往往在接触之前安软已经完成了更新可以杀出来了。如果不装安软自然没有办法,但是装了安软大部分应该能防住,毕竟现在网络环境好了很多(回想05-06年用诺顿企业版,被病毒玩成狗的印象历历在目)。
当然,如果被盯上了就另说了……
我觉得安软公司应该也会刻意的培养病毒甚至改造病毒(应对一些常见的改写方式或者变种),然后在升级特征库过程中会将“可能的变体”信息也收录进去,但是不一定对于每一个病毒都能进行这么彻底的分析,就比如EICAR的特征,既然仅仅是一种测试代码(本身无害),安软公司或许就不考虑具体的针对性改造。但是如果你拿一个别的常见病毒来进行改造,未必能过,甚至未必会进入启发扫描阶段(猜测)。
记得之前NOD32的动态启发解释有说“诱导恶意程序”来达到目的,不知道这个技术是否有什么说法?
GreenCodes
发表于 2017-2-11 10:43:34 | 显示全部楼层
linzh 发表于 2017-2-10 23:40
咳咳咳啊,最近BD不行啊,抓了5个cerber没一个ATC开中拦得住的,好几个ATC开高都GG的
感觉 ...

你被BD惯坏了,等你看看其他杀毒就知道什么样了
linzh
发表于 2017-2-11 11:24:04 | 显示全部楼层
GreenCodes 发表于 2017-2-11 10:43
你被BD惯坏了,等你看看其他杀毒就知道什么样了

就目前情况来说,我签名里的任何一个杀软外加360都比BD防cerber这种勒索都要好,BD入库的太慢了,随随便便就是一天
其他的勒索和病毒另说
月影天心
发表于 2017-2-11 11:30:28 | 显示全部楼层
本帖最后由 月影天心 于 2017-2-11 11:46 编辑


对于不同的使用者来说,卡巴和WD孰强孰弱?
所以,WD是否够用,很大程度取决于个人,我还是那个观点:日常生活、工作中,任何一款正规杀软都可以满足需求,不妨自己想想,微软每个月都在补漏洞,你真正遭遇0day利用有几次?我敢说绝大多数人遇不到一次;在日常工作中又遇到过几次病毒?可能会遇到多次,比如同事间U盘、单位局域网传播等等,然而,你能“有幸”遭遇到一种尚未被安全厂商捕捉到的新威胁的几率有多大?微软的年度报告,统计了装有微软系产品的用户,二成遇到病毒,一成被感染,这已经是非常好的数据,当前的网络环境整体还是相对安全的;不妨再想想,在你所遭遇的病毒中,有几次是靠行为拦截的(误报除外)?我敢说绝大多数日常遇到的威胁都是特征杀,而且其中很多威胁的传播时效往往已经有段年月了,即使对于变种不断、更新效率极快的Ransomware而言,我敢说,日常使用电脑,你能通过“正常途径”遇到,几乎也肯定是入了库的样本

评分

参与人数 1人气 +1 收起 理由
ELOHIM + 1 感谢解答: )

查看全部评分

B100D1E55
 楼主| 发表于 2017-2-11 12:23:41 | 显示全部楼层
FUZE 发表于 2017-2-11 01:33
能不能稍稍剧透一点

不可以,而且我经常改主意,剧透就不好改了
111117
发表于 2017-2-11 12:26:13 | 显示全部楼层
几年前用WD时中过毒就再也不用了
B100D1E55
 楼主| 发表于 2017-2-11 12:37:04 | 显示全部楼层
灭灭之痕 发表于 2017-2-11 10:01
其实就说中毒,我在大学的时候同学们中得最多的就是U盘病毒,网络上的木马也有,但是属于很少的,而且很 ...

不好说,淘宝卖家传“报价单”,玩家下载外{过}{滤}挂修改器人肉工具刷票机注册机等中毒概率实在太大了,这都是实实在在痛点:用户需要用,你不能阻止用户,只能检测。更别提早年挂马多的要死,XSS现在都屡禁不绝,小站也要防注入攻击……如果你自己实际搞过一两个攻击,你就会发现现实威胁远没止步于U盘病毒那种程度。用户对安全的错觉往往来自无知和盲目自我感觉良好
安软公司不需要刻意培养病毒或者改造病毒,如果检测算法设计得当(足够广谱),并且脱壳能力了得(足以暴露核心行为),病毒很难通过简单的混淆绕过。当然这几点都需要投入大量的人力物力来达成。Cerber每次过扫描那么轻松,但运行起来总能触发Snort一个月前特征库的单条报警,就说明了现在安软就这两点都离理想很远,以至于病毒制造者都不需要在行为上进行根本修改来逃避检测。
至于你说的“诱导恶意程序”,我估计就是虚拟环境下促使恶意程序自解密暴露行为
B100D1E55
 楼主| 发表于 2017-2-11 12:45:21 | 显示全部楼层
111117 发表于 2017-2-11 12:26
几年前用WD时中过毒就再也不用了

哈,除掉我自己的回复才不到50楼就已经有人汇报中招黑历史了……有的人就是没法正确理解这种概率问题
B100D1E55
 楼主| 发表于 2017-2-11 12:49:08 | 显示全部楼层
jefffire 发表于 2017-2-10 15:42
一成的感染率已经很高了吧。
中国体育彩票 最低的五元大奖 中奖率有10%么?

实际中过毒就不敢夸海口了,用户需要历练
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:10 , Processed in 0.098170 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表